Yhteiskunnan resilienssi & kyberturvallisuus

Resilienssi näkyy norsuissa.

Viime kirjoituksessa luvatiin kirjoittaa uusi blogisarjan osa yhteiskunnan resilienssistä kyberturvallisuuteen liittyen. Tämä kirjoitus on antanut odotuttaa itseään aika pitkään. Ikävä kyllä tämä julkaistaan sellaisessa maailmanajassa ja tilanteessa jossa Euroopassa käydään sotaa. Teema on siis kenties ajankohtaisempi kuin koskaan, ja resilienssi on toki muutenkin tärkeä yhteiskunnalle. (Aiemmat kirjoitukset täällä ja täällä).

Resilienssi tosiaan yleensä ottaen tarkoittaa kykyä ottaa vastaan negatiivisia tapahtumia sekä selvitä niistä ja toipua niistä. Mitä tämä tarkoittaa kyberympäristössä yhteiskunnalle? Resilienssi tarkoittaa sitä, että meidän tarvitsee selvitä yhteiskuntana erilaisista kyberhyökkäyksistä ja poikkeamista ja ehkä tulla jopa parempana yhteiskuntana niistä tilanteista ulos. Yhteiskunta koostuu ihmisistä, joten sisänsä jokaisella kansalaisella on oma roolinsa. Yhteiskunta koostuu kuitenkin myös organisaatioista. Ottaen huomioon että meillä on valtiot, kunnat, media, yritykset ja kolmas sektori, toimijoita riittää ja vähän toimialasta riippuen jokaisella on oma rooli jossa huolehditaan omasta turvallisuudesta.

Suomessa on kansainvälisesti vertailtuna määritetty ja otettu huomioon kriittisiä toimialoja kiitettävän hyvin. Määritelmä on Suomessa suhteellisen lavea, kattaen monia siviiliyhteiskunnan osia ja yksityisiä toimijoita, ja hyvä niin. Kaikkien näiden tahojen kyberturvallisuutta pyritään kehittämään. 

Nostaisin kuitenkin esiin sen, että on olemassa monenlaisia muitakin organisaatioita, ja kaikki (lailliset) organisaatiot ovat olemassa siksi, että organisaation tekemästä työstä ja tuottamista hyödykkeistä on hyötyä yhteiskunnalla. Mitä enemmän yhteiskunta digitalisoituu ja mitä enemmän asioita kytketään verkkoon, sitä lähemmäksi kansalaista kyberuhat tuodaan. 

Onko tätä asiaa otettu täysin huomioon? Kriittiset toimialat on suhteellisen helppo tunnistaa, ja ottaa näiden kyberturvallisuuden kehittäminen yhteiskunnalliseksi hankkeeksi. Mitä sitten kun joku näiden toimialojen ulkopuolinen taho joutuu kyberhyökkäyksen kohteeksi? Entäpä jos autonvalmistajan autot eivät toimi, sillä ne on voitu lamauttaa hyökkääjän ujuttamalla päivityksellä? Uskon että kaikkia paikkoja, joissa kyberturvallisuuden pettäminen voi tulla yhteiskuntaa haittaavalla tavalla vastaan, ei ole tunnistettu. Yhteiskunta digitalisoituu eivätkä kyberuhat ole ainakaan vähenemään päin. Pelkästään näiden ajurien perusteella on oletettava, että kyberhyökkäysten frekvenssi kasvaa ja yhä useampi organisaatio joutuu niiden kohteeksi. Se tarkoittaa sitä, että yhä useampi tulee kohtaamaan asian arjessaan – oletan että monesti jopa hyvin yllättävällä tavalla.

Meillä Suomessa Vastaamon tapaus on ollut kenties näkyvin, ja osunut nimenomaan sellaiseen kohderyhmään, joka voi muutenkin painia oman henkilökohtaisen resilienssinsä kanssa. On kohtuutonta, että yksittäisten kansalaisten luottamus voidaan pettää näin. Myös tuore S-Pankin tapaus herätti paljon keskustelua ja siinä näki hyvin, että vaikka ihmisten rahat ovat toki heille erittäin tärkeitä, paljon herätti huolta myös mahdollisuus että tunnuksilla on voitu kirjautua viranomaispalveluihin ja muihin vahvaa tunnistautumista vaativiin palveluihin.

Viestintä asiakkaille ennen asian tuloa julkisuuteen oli vähättelevää – omiaan vähentämään asiakkaiden luottamusta laajemminkin omien pankkiasioidensa turvallisuuteen. Tällaisten tilanteiden ja huolten takia resilienssistä on tärkeä puhua, koska yksittäinen ihminen on aika pieni tällaisen tilanteen edessä. Meidän täytyy yhteiskuntana miettiä myös sitä, miten varautua niihin tilanteisiin, joissa yhteiskunnan kriittiset toiminnot eivät sinänsä häiriinny, mutta moni kansalainen tai organisaatio kokee kyberongelmien takia huolia ja kärsimystä.

Valtion ja muiden toimijoiden pitäisi pohtia sitä miten yllättävissä kybertilanteissa voidaan auttaa niiden uhreja. Esimerkiksi Vastaamon tapauksessa viranomaistiedotus ja reagointi olisivat voineet olla parempia ja nopeampia (ja uskoisin että tapauksesta on ehkä hiukan otettu opiksi). Meidän tulisi myös poistaa tarvittaessa lainsäädännöllä niitä asioita jotka helpottavat esimerkiksi identiteettivarkauksia. Näistä voisin nostaa esiin esimerkiksi henkilötunnuksen tai muun vastaavan henkilötiedon käytön tunnistamiseen ja sopimusten tekoon.

Mikäli pyrkisimme tilanteeseen, jossa ainoastaan vahva tunnistautuminen käy sopimusten ja ostosten tekoon verkon ylitse, olisi identiteettivarkauksien tekeminen paljon hankalampaa. Ennalta suunniteltu viestintä ja toimintamallit tilanteissa, joissa esimerkiksi yksityisen sektorin yrityksen asiakkaat joutuvat tietomurron uhreiksi auttaisivat paljon kansallisen resilienssin kasvattamisessa. Tietoa on saatava nopeasti, sen on oltava luotettavaa, ja kansalaiselle täytyy tulla tunne siitä että yhteiskunta on hänen tukenaan ikävissä tilanteissa. Esimerkiksi kriisiapu voi olla paikallaan tietyissä tilanteissa.

Meidän kyberympäristöämme uhkaavat erilaiset tahot, kuten esimerkiksi valtiolliset toimijat. Itänaapurimme useimmat osaavat nimetä vihamieliseksi. Osa valtiollisista uhista on ehkä suurelle yleisölle hiukan tuntemattomampia (esimerkiksi Kiinan suorittama teollisuusvakoilu). Uhkana on myös rikollisorganisaatioita, joiden motiivina on raha. Helppo tapa tehdä paljon rahaa on toteuttaa kyberhyökkäys jossa vaaditaan lunnaita vastineeksi suuren haitan ehkäisemisestä (esimerkiksi liiketoiminnan pysähtyminen tai arkaluonteisten tietojen vuotaminen). Tämä logiikka ajaa rikollisryhmiä sellaiseen suuntaan jolla pyritään vaikuttamaan tärkeisiin järjestelmiin, etsimään kriittisiä tietomassoja ja tapoja aiheuttaa mahdollisimman suurta haittaa mahdollisimman suurelle määrälle ihmisiä. Onkin nähty, että rikolliset ovat hyökänneet kansainvälisesti esimerkiksi terveydenhuollon kimppuun.

Aktiivisten toimijoiden torjuminen ja puolustuksen kehittäminen on toki ensiarvoisen tärkeää. Mutta onnistuneiden hyökkäysten osalta korostuvat kuitenkin jatkuvuuden hallinta, hyvä kriisiviestintä ja resilienssi joka osaltaan seuraa edellämainituista kyvykkyyksistä. Jokainen organisaatio joka kehittää omia kyvykkyyksiään, kehittää samalla yhteiskunnallista resilienssiä. Mitä enemmän meillä on yhteiskunnallista resilienssiä, sitä haastavampi kohde olemme yhteiskuntana, koska sitä vähemmän meitä voi horjuttaa vihamielisten tahojen toiminnalla. Mitä suurempi resilienssimme on, sitä vaikeampi meihin on vaikuttaa onnistuneesti kyberympäristössä. Ja tämä vaikeusasteen lisääminen tekee meistä vähemmän pehmeän, ja siten vähemmän houkuttelevan kohteen – vihamieliset kyvykkyydet on tehokkaampaa kohdistaa muualle.

Ja vaikka kaikilla organisaatioilla on oma tonttinsa hoidettavana, joillain on myös laajempi yhteiskunnallinen vastuu. Meillä on erilaisia kriittisiä ja vähemmän kriittisiä toimialoja, mutta yhtä kaikki kaikki toimialat on jollain tavalla tärkeitä – jos eivät kaikille, niin ainakin osalle meistä. Haluan nostaa keskusteluun myös sen näkökulman, että pelkkä organisaatioiden yksittäinen varautuminen ei riitä, vaan meillä pitää yhteiskunnassa olla kyky ottaa vastaan näitä ikävämpiäkin seurauksia.

Yhteiskunnan tulee tukea myös yrityksiä, mediaa ja kolmatta sektoria sekä kyberuhkiin varautumisessa että niiden hoitamisessa. Tällä saralla tehdään onneksi paljon hyvää työtä jo nyt, ja esimerkiksi Kyberturvallisuuskeskus auttaa organisaatioita monin tavoin sekä varautumisessa että ongelmien hoitamisessa. Nyt käyttöön otettava kyberturvallisuusseteli pyrkii parantamaan kriittisten toimialojen ja niillä toimivien yritysten turvallisuutta. Tämä on tärkeä panostus jossa suhteellisen pienellä budjetilla tehdään yhteiskunnastamme kestävämpi. Ikävä kyllä kyberturvallisuus on organisaatiolle kulu, mutta siitä säästämisen haitat näkyvät monesti ulkoisvaikutuksina muulle yhteiskunnalle. Itse karsastan lähtökohtaisesti yritystukia, mutta uskon että tässä saavutetut positiiviset ulkoisvaikutukset on hyvä huomioida. No, se taloustieteestä.
Yleensä ottaen yrityksillä kansalaisilla ja valtioilla on yhteinen intressi yhteiskunnan turvallisuudessa ja kyberympäristössä tämä tarkoittaa sitä, että kyberhyökkäyksiä ja tietomurtoja pystytään ehkäisemään ja hoitamaan tehokkaasti. On tärkeää ymmärtää, että olimme sitten yksityisellä tai julkisella sektorilla, kansalaisia tai organisaation edustajia, mediaa tai uutisoinnin kohde, olemme lähtökohtaisesti samalla puolella tässä asiassa.

Meillä on luottamukseen perustuva yhteiskunta. Ei ole kestävä tilanne, jos eri yhteiskunnan tahot epäilevät toistensa luotettavuutta, ja pelkäävät joutuvansa kärsimään kyberhyökkäyksestä tai tietomurrosta sen takia, että jonkun tahon kyberturvallisuutta on päästy häiritsemään. Siksi on erityisen tärkeää huolehtia resilienssistä: mitä paremmin selviämme kyberhyökkäyksistä ja autamme toisiamme, sitä varmemmin säilytämme luottamusyhteiskunnan.

Kategoria Blogi, Näkökulma